samrein
Goto Top

GPO rückgängig machen funzt nicht

Moinsen,

ich dreh hier heute noch durch....

ich bastel jetzt schon seit geraumer Zeit an einem Rechner rum dem ich eine ursprüngliche GPO entzogen habe.

Auch wenn Microsoft sagt, das es reichen würde die GPO zu löschen, was schon mal nicht funktioniert hat, habe ich die GPO nochmals aktiviert und auf "nicht konfiguriert" gesetzt.
Soll ja auch funktionieren.

Bei einem gpresult /h sehe ich auch das bei dem betreffenden Benutzer die GPO korrekt gezogen werden, die Einstellung ist aber noch immer aktiv.

Domänencontroller: Windows Server 2019
Client: Windows 10

In der Registry habe ich noch nicht rumgefummelt, bevor ich das tue, was machen Strunz?

Arrrg...

Grüße
Stefan

Content-Key: 562648

Url: https://administrator.de/contentid/562648

Printed on: April 21, 2024 at 18:04 o'clock

Member: Pjordorf
Pjordorf Apr 02, 2020 at 11:26:00 (UTC)
Goto Top
Hallo,

Zitat von @samrein:
Auch wenn Microsoft sagt, das es reichen würde die GPO zu löschen, was schon mal nicht funktioniert hat, habe ich die GPO nochmals aktiviert und auf "nicht konfiguriert" gesetzt.
Soll ja auch funktionieren.
Dir ist schon klar das es auch von der GPO abhängig sein kann. Schon mal "GPO Tattooing" gehört?

In der Registry habe ich noch nicht rumgefummelt, bevor ich das tue, was machen Strunz?
Um welche Einstellung geht es denn überhaupt?

Gruß,
Peter
Member: samrein
samrein Apr 02, 2020 at 11:46:13 (UTC)
Goto Top
Zitat von @Pjordorf:

In der Registry habe ich noch nicht rumgefummelt, bevor ich das tue, was machen Strunz?
Um welche Einstellung geht es denn überhaupt?


Hallo Peter,

Systemsteuerung > Anzeige war deaktiviert.

Dadurch konnte der Benutzer seinen Bildschirm nicht erweitern.

Die Einstellung ist raus, allerdings noch irgendwo im System drauf.

gpupdate /force hab ich natürlich gemacht, gpresult zeigt mir auch die korrekte Einstellung an.
Grüße
Stefan
Member: Pjordorf
Pjordorf Apr 02, 2020 at 12:02:12 (UTC)
Goto Top
Hallo,

Zitat von @samrein:
Die Einstellung ist raus, allerdings noch irgendwo im System drauf.
Rechner auch schon neu gestartet?

gpupdate /force hab ich natürlich gemacht, gpresult zeigt mir auch die korrekte Einstellung an.
Wenn die doch Zurückgesetzt wurde sollte es gehen. Wie schon oben gefragt Rechner neu gestartet oder sind noch mehr Einstellungen gemacht worden (auch vergessene)?

Gruß,
Peter
Member: emeriks
Solution emeriks Apr 02, 2020 updated at 13:13:51 (UTC)
Goto Top
Hi,
beim Denken fängt es immer an.
Group Policy Object ist ungleich Policy.
Und Policy ist ungleich Setting.

"Settings" (Einstellungen) werden überhaupt nicht rückgängig gemacht. Egal ob man die GPO löscht oder nicht mehr anwenden lässt. Und auch egal ob man die Einstellung in der GPO löscht oder nicht mehr anwenden lässt.
Hier muss man immer Gegen-Einstellungen wirken lassen, um diese rückgängig zu machen.

"Policies" (Richtlinien) gibt es zweierlei Art:
- solche, welche nur gelten, wenn sie mit einer geltenden (angewendeten) GPO gesetzt wurden. Sobald die GPO nicht mehr gilt (nicht mehr angewendet wird), dann gilt auch diese Richtlinie nicht mehr.
- solche, welche sogenannt "tattooing" sind. d.h. Wenn man diese rückgängig machen will, dann muss man diese explitzit mit einer Gegen-Richtlinie auf den ursprünglichen Wert setzen. Welche Richtlinien das betrifft, dass findet man im Web und das wird auch im GPO-Editor angezeigt.

E.

Edit:
Unabhängig von o.g. gelten einige Richtlinien (oder gelten nicht mehr) erst dann, wenn man den Benutzer neu anmeldet oder den Computer neu startet.

Edit 2:
"nicht konfiguriert" bei Richtlinien ist ungleich "Gegen-Richtlinie".
Member: samrein
samrein Apr 02, 2020 at 12:20:49 (UTC)
Goto Top
Hallo Emeriks,

deshalb hatte ich ja die Richtlinie explizit wieder aktiviert und die Einstellungen auf "nicht konfiguriert" gesetzt.
Hätte ich sie also auf deaktiviert setzen müssen um zum gewünschten Ergebnis zu kommen?

Grüße
Stefan
Member: samrein
samrein Apr 02, 2020 at 12:23:46 (UTC)
Goto Top
Zitat von @emeriks:


Edit:
Unabhängig von o.g. gelten einige Richtlinien (oder gelten nicht mehr) erst dann, wenn man den Benutzer neu anmeldet oder den Computer neu startet.

hatte den Rechner neu gestartet

Edit 2:
"nicht konfiguriert" bei Richtlinien ist ungleich "Gegen-Richtlinie".

probiere ich aus
Member: BirdyB
Solution BirdyB Apr 02, 2020 at 12:24:11 (UTC)
Goto Top
Zitat von @samrein:
Hätte ich sie also auf deaktiviert setzen müssen um zum gewünschten Ergebnis zu kommen?

Ja... „Nicht konfiguriert“ heißt nur, dass nichts geändert wird...
Member: samrein
samrein Apr 02, 2020 at 12:32:48 (UTC)
Goto Top
Ja, danke, das war es tatsächlich.

Vielen Dank Euch....

Grüße
Stefan
Member: DerWoWusste
DerWoWusste Apr 02, 2020 at 13:33:45 (UTC)
Goto Top
Es ist nicht so, wie hier dargestellt.

Hätte ich sie also auf deaktiviert setzen müssen um zum gewünschten Ergebnis zu kommen?
Ja... „Nicht konfiguriert“ heißt nur, dass nichts geändert wird...
Falsch. In der Regel (bei mehr als 98% aller Policies) trifft das nicht zu. Da nimmt ein Setzen auf "nicht konfiguriert" die Einstellung sehr wohl zurück.

Weiteres zum Thema Tattooing: https://sdmsoftware.com/wp-content/uploads/2020/02/Understanding-Group-P ...

@emeriks
"Settings" (Einstellungen) werden überhaupt nicht rückgängig gemacht....Hier muss man immer Gegen-Einstellungen wirken lassen, um diese rückgängig zu machen.
Auch nicht ganz richtig. Man kann das sehr wohl einstellen:
capture
Member: samrein
samrein Apr 02, 2020 at 13:45:47 (UTC)
Goto Top
Zitat von @DerWoWusste:
Auch nicht ganz richtig. Man kann das sehr wohl einstellen:
capture

An welcher Stelle hast Du hier die Einstellungsmöglichkeit?

Danke und Gruß
Member: DerWoWusste
DerWoWusste Apr 02, 2020 at 14:08:05 (UTC)
Goto Top
capture
Member: samrein
samrein Apr 02, 2020 at 14:10:31 (UTC)
Goto Top
dank dir
Member: emeriks
emeriks Apr 03, 2020 updated at 06:22:15 (UTC)
Goto Top
Zitat von @DerWoWusste:
@emeriks
Auch nicht ganz richtig. Man kann das sehr wohl einstellen:
Ja, richtig. Habe ich übersehen. Danke.
Allerdings muss man das vorher gesetzt haben. D.h. der Client oder Benutzer muss diese Einstellung schon mit dieser Option angewendet haben. Wenn ich die GPO z.B. lösche, während der Computer oder Benutzer offline ist, dann nützt es nicht, wenn ich schnell noch vorher diese Option setze und dann erst diese GPO lösche.
Das ist analog der Richtlinie "Ordnerumleitung".

Falsch. In der Regel (bei mehr als 98% aller Policies) trifft das nicht zu. Da nimmt ein Setzen auf "nicht konfiguriert" die Einstellung sehr wohl zurück.
Jain. Das kann man nicht pauschalisieren und hängt jetzt davon ab, was vorher für den Client oder den Benutzer eingestellt war, sei es manuell oder über eine andere GPO. Man will ja mit solchen "Rückgängigmachen" i.A. erreichen, dass es wieder "wie vorher" ist.
Member: DerWoWusste
DerWoWusste Apr 03, 2020 updated at 06:28:23 (UTC)
Goto Top
Jain...
Erklär mal, was Du sagen möchtest.
Ich habe mitgeteilt, dass über 98% der GPOs (laut Exceltabelle von Microsoft) die Registry nicht tattooen. Und wenn Sie das nicht tun, dann macht man die Einstellung rückgängig, indem man auf "nicht konfiguriert" setzt.